Firma Check Point Research (CPR) ujawniła niedawno usterkę w działaniu "Znajdowanie przyjaciół" z TikTok omijając je ochrona prywatności.
ΑJeśli ta luka nie zostanie usunięta, osoba atakująca może uzyskać dostęp do szczegółów profilu użytkownika i numerów telefonów powiązanych z jego kontem, umożliwiając stworzenie bazy danych informacji do użytku w złośliwa aktywność w przyszłości.
Śledczy resuscytacji krążeniowo-oddechowej dwukrotnie odkryli luki w zabezpieczeniach w TikTok. Najnowsze profile podatności obejmują: numer telefonu, pseudonim, zdjęcia profilowe i awatar, unikalne identyfikatory użytkowników oraz niektóre ustawienia profilu, takie jak to, czy użytkownik jest obserwującym, czy jego profil jest zablokowany.
Jak intruzi mogą wykorzystać tę lukę:
- Utwórz listę identyfikatorów urządzeń, które będą używane do wyszukiwania serwerów TikTok.
- Utwórz listę tokenów specyficznych dla tokenu (każdy token jest ważny przez 60 dni), które będą używane do wyszukiwania serwerów TikTok.
- Pomiń mechanizm podpisywania wiadomości TikTok HTTP przy użyciu własnej usługi podpisywania w tle.
- Połącz wszystkie powyższe, modyfikując żądania HTTP, ignorując je i używając różnych tokenów i identyfikatorów urządzeń, aby ominąć mechanizmy ochrony TikTok.
Kolejne kroki, które nastąpiły po Check Check Research i ByteDance…
CPR odpowiedzialnie ujawniło swoje ustalenia producentowi TikTok, firmie ByteDance. Pozytywne było to, że jego twórcy TikTok opracowali rozwiązanie zapewniające użytkownikom TikTok możliwość dalszego bezpiecznego korzystania z aplikacji.
W swoich wcześniejszych badaniach nad TikTok, CPR już dwukrotnie znalazło w nim luki w zabezpieczeniach.
8 stycznia 2020 r. CPR opublikowało dokument na temat zestawu luk, które mogą umożliwić agentowi zagrożeń dostęp do danych osobowych
przechowywane na kontach użytkowników, manipulować informacjami o koncie użytkownika lub podejmować działań w imieniu użytkownika bez jego zgody.
Oded Vanunu, kierownik działu badań podatności produktów w firmie Check Stwierdzono punkt:
Intruz dysponujący takim poziomem poufnych informacji może popełnić szereg złośliwych działań, takich jak połowy cybernetyczne lub inne działania przestępcze. Naszym przesłaniem do użytkowników TikTok jest udostępnianie niewielkiej ilości ich danych osobowych. A także zaktualizować swój system operacyjny i aplikacje do najnowszych wersji.
Rzecznik TikTok powiedział:
Nie zapomnij tego przestrzegać Xiaomi-miui.gr w wiadomości Google być natychmiast informowanym o wszystkich naszych nowych artykułach!